如何恢複被破壞的"WindowsXP"係統文件
如果Windows XP的係統文件被病毒或其它原因破壞了,我們可以從Windows XP的安裝盤中恢複那些被破壞的文件。
具體方法:
在Windows XP的安裝盤中搜索被破壞的文件,需要注意的是,文件名的最後一個字符用底線“_”代替,例如:如果要搜索“Notepad.exe”則需要用“Notepad.ex_”來進行搜索。
搜索需要的文件
搜索到了之後,打開命令行模式(在“運行”中輸入“cmd”),然後輸入:“EXPAND 源文件的完整路徑目標文件的完整路徑”。例如: EXPAND D:\SETUP\NOTEPAD.EX_ C:\Windows\NOTEPAD.EXE。有一點需要注意的是,如果路徑中有空格的話,那麼需要把路徑用雙引號(英文引號)包括起來。
找到當然是最好的,但有時我們在Windows XP盤中搜索的時候找不到我們需要的文件。產生這種情況的一個原因是要找的文件是在“CAB”文件中。由於Windows XP把“CAB”當作一個文件夾,所以對於Windows XP係統來說,隻需要把“CAB”文件右拖然後複製到相應目錄即可。
如果使用的是其他Windows平台,搜索到包含目標文件名的“CAB”文件。然後打開命令行模式,輸入:“EXTRACT /L 目標位置 CAB文件的完整路徑”,例如: EXTRACT /L C:\Windows D:\I386\Driver.cab Notepad.exe。同前麵一樣,如同路徑中有空格的話,則需要用雙引號把路徑包括起來。
Word存在嚴重漏洞 影響大部分Windows用戶
2008-3-27
在上周五的公告板上,微軟承認了“有數量有限且非常具針對性的攻擊”利用了微軟Jet數據庫引擎中的一個bug。Jet數據庫引擎是Windows其中一個組件,主要作用是向包括微軟Access及Visual Basic等應用程序提供數據訪問。
微軟公司本周日對外警告稱,Word程序中的一個嚴重漏洞影響到所有使用Windows 2000、XP和Server 2003 SP1的用戶。幾星期前,一家安全企業最先報道了這個漏洞,之後一天,第二家廠商確認出現了利用此漏洞的攻擊。
·
在上周五的公告板上,微軟承認了“有數量有限且非常具針對性的攻擊”利用了微軟Jet數據庫引擎中的一個bug。Jet數據庫引擎是Windows其中一個組件,主要作用是向包括微軟Access及Visual Basic等應用程序提供數據訪問。
不過,根據賽門鐵克(Symantec)公司的報道,微軟所描述的攻擊行為實際上利用一些惡意的Word 2000、2002、2003及2007文檔來調用存在漏洞的Jet.dll文件。
“我們相信,微軟所描述的問題與2008年3月20由Elia Florio所撰寫的Symantec Security Response中提及的屬同一個問題,”這家安全企業在周六這樣對客戶說。“在報告中,他指出,Panda Security近期發現有人正利用此漏洞發動‘零日攻擊’。”
輕鬆學會DOS下殺毒
2008-2-27
如果你不會DOS,用了很久的kv還沒有看到過它的DOS殺毒界麵,那麼下麵的文字可以幫上你的忙,學會DOS殺毒,這隻要三分鍾的時間,就這麼簡單!簡單概念:DOS,DISK OPERATE SYSTEM的縮寫,全名叫磁盤操作係統。
第一步:進得去出得來
進入DOS:有兩個辦法:1.點【開始】、【關閉係統】、選【重新啟動係統並切換到MS-DOS方式】2.啟動計算機的時候按住Ctrl鍵不放,等選擇界麵出來後,按鍵盤上的上下方向鍵,選Command Prompt only,回車。說明:如果你用的是win2000和win xp,要先進入win98才行。
最好的辦法,就是在係統幹淨的時候,做一張DOS啟動盤,用它啟動係統,可以保證你殺毒的完美效果!也就是說,利用硬盤啟動的時候,切入DOS操作係統(比上麵:等選擇界麵出來後,按鍵盤上的上下方向鍵,選Command Prompt only,回車。)要有效地多!
退出DOS:剛才我們進入了DOS,你看到的可能是c:\WINDOWS> ,它的意思是你現在的位置在c盤的WINDOWS目錄下(如果你用上麵第二個方法進入dos,你看到的會是c:\>),現在在它後麵緊跟著輸入個命令win,係統就會退出DOS返回到你熟悉的windows界麵。注意,當你輸入了win後可能看到電腦沒什麼反應,不用著急,電腦沒壞,保持耐心多等等就行了。win這個命令很好記,win就是windows是縮寫。
到此你已經會進入和退出DOS了,心裏有底了,恭喜!你已經成功了50%!
第二步:在dos下調出kv的dos殺毒程序進行殺毒
1.在windows下,找到你kv的dos殺毒程序的位置,它在你kv殺毒軟件的安裝目錄下,kv2005dos殺毒程序的文件名叫KVDOS.exe,我們每個人安裝kv的位置不一樣,默認在安裝在c盤,自定義安裝位置每人裝的不一樣,比如說我安裝在G盤,那麼KVDOS.exe的位置就是G:\KV2005\KVDOS.exe,現在拿筆記下這個位置。
2.用上麵說的辦法進入DOS,在光標提示符號下輸入剛才記下的位置,回車,你會看到dos在加載kv的dos殺毒程序,幾秒鍾之內你就可以進入kv的dos殺毒界麵,選擇要殺毒的盤或要殺毒的文件夾、文件就可以開始殺毒了。dos下殺毒可以把毒殺得更徹底,恭喜你,現在可以在dos下殺毒了。
ping命令之解惑
網絡工程師都會用到Ping,它是檢查路由問題的有效辦法。但也常聽工程師抱怨:不可能,怎麼會不通呢?
這樣的困惑一般發生在自認為路由設置正確的時候。舉幾個筆者遇到的問題,歡迎大家補充。
最簡單的三種情況:
1.太心急。即網線剛插到交換機上就想Ping通網關,忽略了生成樹的收斂時間。
當然,較新的交換機都支持快速生成樹,或者有的管理員幹脆把用戶端口(ac cess port)的生成樹協議關掉,問題就解決了。
2.訪問控製。不管中間跨越了多少跳,隻要有節點(包括端節點)對ICMP進行了過濾,Ping不通是正常的。最常見的就是防火牆的行為。
3.某些路由器端口是不允許用戶Ping的。還遇到過這樣的情形,更為隱蔽。
1.網絡因設備間的時延太大,造成ICMP echo報文無法在缺省時間(2秒)內收到。
時延的原因有若幹,比如線路(衛星網時延上下星為540毫秒),路由器處理時延,或路由設計不合理造成迂回路徑。使用擴展Ping,增加timed out時間,可Ping通的話就屬路由時延太大問題。
2.引入NAT的場合會造成單向Ping通。NAT可以起到隱蔽內部地址的作用,當由內Ping外時,可以Ping通是因為NAT表的映射關係存在,當由外發起Ping內網主機時,就無從查找邊界路由器的NAT表項了。
3.多路由負載均衡場合。比如Ping遠端目的主機,成功的reply和timed out交錯出現,結果發現在網關路由器上存在兩條到目的網段的路由,兩條路由權重相等,但經查一條路由存在問題。
4.IP地址分配不連續。地址規劃出現問題象是在網絡中埋了地雷,地址重疊或掩碼劃分不連續都可能在Ping時出現問題。
比如一個極端情況,A、B兩台主機,經過多跳相連,A能Ping通B的網關,而且B的網關設置正確,但A、B就是Ping不通。經查,在B的網卡上還設有第二個地址,並且這個地址與A所在的網段重疊。
5.指定源地址的擴展Ping。登陸到路由器上,Ping遠程主機,當ICMP echo request從串行廣域網接口發出去的時候,路由器會指定某個IP地址作為源IP,這個IP地址可能不是此接口的IP或這個接口根本沒有IP地址。
而某個下遊路由器可能並沒有到這個IP網段的路由,導致不能Ping通。可以采用擴展Ping,指定好源IP地址。
當主機網關和中間路由的配置認為正確時,出現Ping問題也是很普遍的現象。此時應該忘掉"不可能"幾個字,把Ping的擴展參數和反饋信息、traceroute、路由器debug、以及端口鏡像和Sniffer等工具結合起來進行分析。
比如,當A、B兩台主機經過多跳路由器相連時,二者網關設置正確,在A上可以Ping通B,但在B上不能Ping通A。
可以通過在交換機做鏡像,並用Sniffer抓包,來找出ICMP 報文終止於何處,報文內容是什麼,就可以發現ICMP報文中的源IP地址並非預期的那樣,此時很容易想象出可能是路由器的NAT功能使然,這樣就能夠逐步地發現一些被忽視的問題。
而Ping不通時的反饋信息是"destination_net_unreachable"還是"timed out"也是有區別的。
從零開始自檢係統漏洞
近來黑客攻擊事件頻頻發生,我們身邊的朋友也不斷有QQ、E-mail和遊戲賬號被盜事件發生。現在的黑客技術有朝著大眾化方向發展的趨勢,能夠掌握攻擊他人係統技術的人越來越多了,隻要你的電腦稍微有點係統Bug或者安裝了有問題的應用程序,就有可能成為他人的肉雞。如何給一台上網的機器查漏洞並做出相應的處理呢?
一、要命的端口
計算機要與外界進行通信,必須通過一些端口。別人要想入侵和控製我們的電腦,也要從某些端口連接進來。某日筆者查看了一位朋友的係統,吃驚地發現開放了139、445、3389、4899等重要端口,要知道這些端口都可以為黑客入侵提供便利,尤其是4899,可能是入侵者安裝的後門工具Radmin打開的,他可以通過這個端口取得係統的完全控製權。
在Windows 98下,通過“開始”選取“運行”,然後輸入“command”(Windows 2000/XP/2003下在“運行”中輸入“cmd”),進入命令提示窗口,然後輸入netstat/an,就可以看到本機端口開放和網絡連接情況。
那怎麼關閉這些端口呢?因為計算機的每個端口都對應著某個服務或者應用程序,因此隻要我們停止該服務或者卸載該程序,這些端口就自動關閉了。例如可以在“我的電腦 →控製麵板→計算機管理→服務”中停止Radmin服務,就可以關閉4899端口了。
如果暫時沒有找到打開某端口的服務或者停止該項服務可能會影響計算機的正常使用,我們也可以利用防火牆來屏蔽端口。以天網個人防火牆關閉4899端口為例。打開天網“自定義IP規則”界麵,點擊“增加規則”添加一條新的規則,在“數據包方向”中選擇“接受”,在“對方IP地址”中選擇“任何地址”,在TCP選項卡的本地端口中填寫從4899到0,對方端口填寫從0到0,在“當滿足上麵條件時”中選擇“攔截”,這樣就可以關閉4899端口了。其他的端口關閉方法可以此類推。
二、敵人的“進程”
在Windows 2000下,可以通過同時按下“Ctrl+Alt+Del”鍵調出任務管理器來查看和關閉進程;但在Windows 98下按“Ctrl+Alt+del”鍵隻能看到部分應用程序,有些服務級的進程卻被隱藏因而無法看到了,不過通過係統自帶的工具msinfo32還是可以看到的。在“開始→運行”裏輸入msinfo32,打開“Microsoft 係統信息”界麵,在“軟件環境”的“正在運行任務”下可以看到本機的進程。但是在Windows 98下要想終止進程,還是得通過第三方的工具。很多係統優化軟件都帶有查看和關閉進程的工具,如春光係統修改器等。
但目前很多木馬進程都會偽裝係統進程,新手朋友很難分辨其真偽,所以這裏推薦一款強大的殺木馬工具──“木馬克星”,它可以查殺8000多種國際木馬,1000多種密碼偷竊木馬,功能十分強大,實在是安全上網的必備工具!
三、小心,遠程管理軟件有大麻煩
現在很多人都喜歡在自己的機器上安裝遠程管理軟件,如Pcanywhere、Radmin、VNC或者Windows自帶的遠程桌麵,這確實方便了遠程管理維護和辦公,但同時遠程管理軟件也給我們帶來了很多安全隱患。例如Pcanywhere 10.0版本及更早的版本存在著口令文件*.CIF容易被解密(解碼而非爆破)的問題,一旦入侵者通過某種途徑得到了*.CIF文件,他就可以用一款叫做Pcanywherepwd的工具破解出管理員賬號和密碼。
而Radmin則主要是空口令問題,因為Radmin默認為空口令,所以大多數人安裝了Radmin之後,都忽略了口令安全設置,因此,任何一個攻擊者都可以用Radmin客戶端連接上安裝了Radmin的機器,並做一切他想做的事情。
Windows係統自帶的遠程桌麵也會給黑客入侵提供方便的大門,當然是在他通過一定的手段拿到了一個可以訪問的賬號之後。
可以說幾乎每種遠程管理軟件都有它的問題,如本報43期G12版介紹的強大的遠程管理軟件DameWare NT Utilitie。它工具包中的DameWare Mini Remote Control某些版本也存在著緩衝區溢出漏洞,黑客可以利用這個漏洞在係統上執行任意指令。所以,要安全地遠程使用它就要進行IP限製。這裏以Windows 2000遠程桌麵為例,談談6129端口(DameWare Mini Remote Control使用的端口)的IP限製:打開天網“自定義IP規則”界麵,點擊“增加規則”添加一條新的規則。在“數據包方向”中選擇“接受”,在“對方IP地址”中選擇“指定地址”,然後填寫你的IP地址,在TCP選項卡的本地端口中填寫從6129到0,對方端口填寫從0到0,在“當滿足上麵條件時”中選擇“通行”,這樣一來除了你指定的那個IP(這裏假定為192.168.1.70)之外,別人都連接不到你的電腦上了。
安裝最新版的遠程控製軟件也有利於提高安全性,比如最新版的Pcanywhere的密碼文件采用了較強的加密方案。
四、“專業人士”幫你免費檢測
很多安全站點都提供了在線檢測,可以幫助我們發現係統的問題,如天網安全在線推出的在線安全檢測係統──天網醫生,它能夠檢測你的計算機存在的一些安全隱患,並且根據檢測結果判斷你係統的級別,引導你進一步解決你係統中可能存在的安全隱患。
天網醫生可以提供木馬檢測、係統安全性檢測、端口掃描檢測、信息泄漏檢測等四個安全檢測項目,可能得出四種結果:極度危險、中等危險、相當安全和超時或有防火牆。其他知名的在線安全檢測站點還有千禧在線以及藍盾在線檢測.另外,IE的安全性也是非常重要的,一不小心就有可能中了惡意代碼、網頁木馬的招兒,http://bcheck.scanit.be/bcheck/就是一個專門檢測IE是否存在安全漏洞的站點,大家可以根據提示操作。
五、自己掃描自己
天網醫生主要針對網絡新手,而且是遠程檢測,速度比不上本地,所以如果你有一定的基礎,最好使用安全檢測工具(漏洞掃描工具)手工檢測係統漏洞。
我們知道,黑客在入侵他人係統之前,常常用自動化工具對目標機器進行掃描,我們也可以借鑒這個思路,在另一台電腦上用漏洞掃描器對自己的機子進行檢測。功能強大且容易上手的國產掃描器首推X-Scan,當然小蓉流光也很不錯。
以X-Scan為例,它有開放端口、CGI漏洞、IIS漏洞、RPC漏洞、SSL漏洞、SQL-SERVER等多個掃描選項,更為重要的是列出係統漏洞之外,它還給出了十分詳盡的解決方案,我們隻需要“按方抓藥”即可。
例如,用X-Scan對隔壁某台計算機進行完全掃描之後,發現如下漏洞:
[192.168.1.70]: 端口135開放: Location Service
[192.168.1.70]: 端口139開放: NET BIOS Session Service
[192.168.1.70]: 端口445開放: Mi crosoft-DS
[192.168.1.70]: 發現 NT-Server弱口令: user/[空口令]
[192.168.1.70]: 發現 “NetBios信息”
從其中我們可以發現,Windows 2000弱口令的問題,這是個很嚴重的漏洞。NetBios信息暴露也給黑客的進一步進攻提供了方便,解決辦法是給User賬號設置一個複雜的密碼,並在天網防火牆中關閉135~139端口。
六、別小瞧Windows Update
微軟通常會在病毒和攻擊工具泛濫之前開發出相應的補丁工具,隻要點擊“開始”菜單中的Windows Update,就到了微軟的Windows Update網站,在這裏下載最新的補丁程序。所以每周訪問Windows Update網站及時更新係統一次,基本上就能把黑客和病毒拒之門外。
檢查電腦是否被安裝木馬三個小命令
檢查電腦是否被安裝木馬三個小命令
一、檢測網絡連接
如果你懷疑自己的計算機上被別人安裝了木馬,或者是中了病毒,但是手裏沒有完善的工具來檢測是不是真有這樣的事情發生,那可以使用Windows自帶的網絡命令來看看誰在連接你的計算機。
具體的命令格式是:netstat -an這個命令能看到所有和本地計算機建立連接的IP,它包含四個部分——proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當前端口狀態)。通過這個命令的詳細信息,我們就可以完全監控計算機上的連接,從而達到控製計算機的目的。
二、禁用不明服務
很多朋友在某天係統重新啟動後會發現計算機速度變慢了,不管怎麼優化都慢,用殺毒軟件也查不出問題,這個時候很可能是別人通過入侵你的計算機後給你開放了特別的某種服務,比如IIS信息服務等,這樣你的殺毒軟件是查不出來的。但是別急,可以通過“net start”來查看係統中究竟有什麼服務在開啟,如果發現了不是自己開放的服務,我們就可以有針對性地禁用這個服務了。
方法就是直接輸入“net start”來查看服務,再用“net stop server”來禁止服務。
三、輕鬆檢查賬戶
很長一段時間,惡意的攻擊者非常喜歡使用克隆賬號的方法來控製你的計算機。他們采用的方法就是激活一個係統中的默認賬戶,但這個賬戶是不經常用的,然後使用工具把這個賬戶提升到管理員權限,從表麵上看來這個賬戶還是和原來一樣,但是這個克隆的賬戶卻是係統中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控製你的計算機。
為了避免這種情況,可以用很簡單的方法對賬戶進行檢測。
首先在命令行下輸入net user,查看計算機上有些什麼用戶,然後再使用“net user+用戶名”查看這個用戶是屬於什麼權限的,一般除了Administrator是administrators組的,其他都不是!如果你發現一個係統內置的用戶是屬於administrators組的,那幾乎肯定你被入侵了,而且別人在你的計算機上克隆了賬戶。快使用“net user用戶名/del”來刪掉這個用戶吧!
聯網狀態下的客戶端。對於沒有聯網的客戶端,當其聯網之後也會在第一時間內收到更新信息將病毒特征庫更新到最新版本。不僅省去了用戶去手動更新的煩瑣過程,也使用戶的計算機時刻處於最佳的保護環境之下。
網絡中斷、丟包現象的分析歸納
關於這類的問題,很多朋友經常遇到,正好前段時間,這邊的網絡也有過類似情況,經過排查,發現是流量過大引起的。這裏我把遇到這類問題時的排查方案簡單歸納一下。
1、病毒問題;
2、流量過大;
3、核心設備;
4、線路故障。
1、病毒問題;
這個問題很不好說,具體情況具體對待。一般可以優先考慮ARP病毒。至於ARP病毒的查殺工具,我的網盤中有提供。
2、流量過大;
流量過大也會引起網絡中斷,核心設備忙於處理某兩點或幾點之間的通信,而顧不上其他一些通信數據。具體情況,可以使用sniffer接到各個VLAN中查看流量,然後把最終統計結果拿出來看看,建議找出流量最高的前三名。如果流量太過離譜,封了他的端口吧,不用給我麵子。
3、核心設備;
對於核心設備,用一些常用命令來收集一下目前的工作情況。例如:
(1)、適用於C8540
show environment 設備溫度
show processes cpu 查看CPU利用率
show logging 查看設備日誌
show diag power-on 查看各板卡加電情況
show diag online 檢測板卡工作狀態
(2)、適用於思科6506
show environment status all 設備溫度
show processes cpu 查看CPU利用率
show logging 查看設備日誌
show module 查看各板卡工作狀態
(3)、適用於思科6006
show environment all 設備溫度
show processes cpu 查看CPU利用率
show logging 查看設備日誌<